Εργαζόμενοι σε ρόλο προάσπισης της κυβερνοασφάλειας στις επιχειρήσεις

Οι εργαζόμενοι σήμερα δεν καλούνται να ασχολούνται μόνο με το αντικείμενο της εργασίας τους, για το οποίο έχουν προσληφθεί, αλλά πρέπει να είναι και συνειδητοποιημένοι και σε εγρήγορση, ώστε να διασφαλίζουν την ασφάλεια του εργασιακού τους χώρου, που σχετίζεται με τον τομέα της τεχνολογίας, δηλαδή την ασφάλεια των υπολογιστών τους και όλες τις μορφές της ψηφιακής επικοινωνίας.

Αυτό σημαίνει ότι η επιχείρηση, με διάφορους ηλεκτρονικούς τρόπους και μέσα, οφείλει να ενημερώνει και να εκπαιδεύει το προσωπικό της για τα επιπλέον αυτά καθήκοντα, με στόχο να είναι περισσότερο καταρτισμένοι για θέματα ασφαλείας, ακολουθώντας συγκεκριμένα πρωτόκολλα.

Τι κάνουν στην Κύπρο και αλλού

Το 2024, το 60% των επιχειρήσεων στην ΕΕ με 10 ή περισσότερους υπαλλήλους ενημέρωσαν το προσωπικό τους για τις υποχρεώσεις που έχουν σε θέματα που σχετίζονται με την ασφάλεια στον τομέα πληροφορικής και επικοινωνίας (ΤΠΕ). Η Τσεχία είχε το υψηλότερο ποσοστό επιχειρήσεων που ευαισθητοποιούσαν τους υπαλλήλους τους για τις υποχρεώσεις τους για την ασφάλεια, με 77,5%, ακολούθησε η Φινλανδία (74,8%) και η Δανία (70,1%).

Στο άλλο άκρο της κλίμακας βρέθηκαν οι επιχειρήσεις στην Ελλάδα (31,7%), Κροατία (39,0%) και Λετονία (47,5%).

Το ποσοστό των επιχειρήσεων στην Κύπρο, το 2024, που ενημέρωσαν τους υπαλλήλους τους για θέματα ασφάλειας ήταν 51,62% από 59,30% που καταγράφηκε το 2019.

Τα στοιχεία που παρέθεσε η Eurostat στην έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα, δείχνουν ότι 19 χώρες της ΕΕ κατέγραψαν αυξημένο μερίδιο επιχειρήσεων που βελτιώνουν τη συνειδητοποίηση των εργαζομένων ως προς τις υποχρεώσεις ασφάλειας στον τομέα πληροφορικής και επικοινωνίας σε σύγκριση με το 2022. Η έρευνα βασίστηκε σε δείγμα περίπου 157.000 επιχειρήσεων με 10 ή περισσότερους μισθωτούς ή αυτοαπασχολούμενους, από 1,54 εκατομμύρια εταιρείες στην ΕΕ.

Από αυτές τις 1,54 εκατομμύρια επιχειρήσεις, περίπου το 83% ήταν μικρές επιχειρήσεις (με 10-49 εργαζομένους ή αυτοαπασχολούμενους), το 14% μεσαίες (50-249 εργαζόμενοι) και το 3% μεγάλες επιχειρήσεις (250 ή περισσότερους εργαζόμενους). Οι τομείς που καλύπτονται από την έρευνα είναι μεταποίηση, ηλεκτρισμός, παροχή νερού, κατασκευές, χονδρικό και λιανικό εμπόριο, επισκευή μηχανοκίνητων οχημάτων και μοτοσυκλετών, μεταφορά και αποθήκευση, καταλύματα και υπηρεσίες τροφίμων, πληροφορίες και επικοινωνία, ακίνητα, επαγγελματικές, επιστημονικές και τεχνικές δραστηριότητες, διοικητικές και υποστηρικτικές δραστηριότητες, επισκευή υπολογιστών και επικοινωνιακού εξοπλισμού.

H έρευνα σύμφωνα με την Ευρωπαϊκή Στατιστική Υπηρεσία σηματοδοτεί την ημέρα ασφαλούς διαδικτύου, που γιορτάζεται κάθε χρόνο στις 11 Φεβρουαρίου.

Το Βέλγιο είχε την υψηλότερη αύξηση 9,1%, ακολουθούμενο από τη Φινλανδία (+7,5 %) και την Πολωνία (+6,0 %.).

Αντίθετα, η μεγαλύτερη πτώση σημειώθηκε στην Εσθονία (-6,4%), Ιρλανδία (-6,3 % ) και  Λετονία (-3,0%.).

Γιατί είχαν προβλήματα

Το ζήτημα ασφάλειας που αντιμετώπισαν οι περισσότερες επιχειρήσεις ήταν η μη διαθεσιμότητα υπηρεσιών πληροφορικής και επικοινωνίας λόγω αστοχιών υλικού ή λογισμικού (18,0%). Το δεύτερο πιο κοινό ζήτημα ασφάλειας που σχετίζεται με τις ΤΠΕ ήταν η καταστροφή δεδομένων λόγω αστοχιών ή θέματα που σχετίζονται με το λογισμικό (3,9%). Μόνο το 1,2% είχε βιώσει αποκάλυψη εμπιστευτικών δεδομένων λόγω ακούσιων ενεργειών από δικούς τους υπαλλήλους.

Το 2024, το 92,76% των επιχειρήσεων της ΕΕ με 10 ή περισσότερους υπαλλήλους ή αυτοαπασχολούμενους χρησιμοποίησαν τουλάχιστον ένα μέτρο προκειμένου να διασφαλίσουν την ακεραιότητα, τη διαθεσιμότητα και το απόρρητο των δεδομένων  των συστημάτων ΤΠΕ.

Στην Κύπρο, το ποσοστό ήταν 96,35%, στην Ελλάδα 71,84%, στην Δανία 97,53%, στην Γερμανία 96,50%, στην Ισπανία 89,92%. Περισσότερες από 1 στις 3 επιχειρήσεις (35,50%) ανέφεραν ότι εφαρμόζουν μέτρα για έγγραφα, πρακτικές ή διαδικασίες για την ασφάλεια των ΤΠΕ. Στην Κύπρο το ποσοστό ήταν 37,11%.

Η έρευνα αναδεικνύει επίσης ότι στο ένα πέμπτο των επιχειρήσεων (21,82%) αυτά τα έγγραφα ορίστηκαν ή εξετάστηκαν τους τελευταίους 12 μήνες και στις κυπριακές επιχειρήσεις το ποσοστό ήταν 22,45%. Το 59,97% των επιχειρήσεων της ΕΕ ενημέρωσαν το προσωπικό τους για τις υποχρεώσεις τους σε θέματα ασφάλειας ΤΠΕ και το ποσοστό για τις κυπριακές επιχειρήσεις ήταν πολύ χαμηλότερο στο 51,62%.

Μέθοδοι προστασίας

Το 2024, το 92,76% των επιχειρήσεων της ΕΕ χρησιμοποίησε τουλάχιστον ένα από τα μέτρα ασφαλείας. Το πιο κοινό μέτρο που χρησιμοποιήθηκε ήταν ο ισχυρός έλεγχος ταυτότητας με κωδικό πρόσβασης (83,69%), ακολουθεί η δημιουργία αντιγράφων ασφαλείας δεδομένων σε ξεχωριστή τοποθεσία ή υπολογιστικό σύννεφο -cloud – (9,23%) και έλεγχος πρόσβασης στο δίκτυο (65,43%).

Λιγότερες από τις μισές επιχειρήσεις ανέφεραν ότι χρησιμοποιούν εικονικά ιδιωτικά δίκτυα (VPN) (49,64%) ή διατηρούν αρχεία καταγραφής για ανάλυση μετά από συμβάντα ασφαλείας (45,16%). Οι επιχειρήσεις χρησιμοποιούσαν λιγότερο συχνά συνδυασμό δύο ή περισσότερων μηχανισμών ελέγχου ταυτότητας (39,84%), τεχνικών κρυπτογράφησης για δεδομένα, έγγραφα ή μηνύματα ηλεκτρονικού ταχυδρομείου (39,72%), δοκιμές ασφάλειας ΤΠΕ (34,64%), αξιολογήσεις κινδύνου στον τομέα πληροφορικής και επικοινωνίας (34,10%) ή έλεγχο ταυτότητας μέσω βιομετρικών μεθόδων.

Ανεξάρτητα από το μέγεθος της επιχείρησης, ο έλεγχος ταυτότητας μέσω βιομετρικών μεθόδων ήταν το λιγότερο χρησιμοποιούμενο μέτρο ασφάλειας αν και το ποσοστό των μεγάλων επιχειρήσεων που χρησιμοποιούσαν αυτό το μέτρο (38,55%) ήταν σημαντικά υψηλότερο από το ποσοστό που καταγράφηκε για τις μικρές επιχειρήσεις (16,44%).

Το 2024, το 35,50% των επιχειρήσεων της ΕΕ διέθετε έγγραφα που έθεταν σε εφαρμογή μέτρα, πρακτικές ή διαδικασίες για την ασφάλεια των τεχνολογιών πληροφορικής. Άνω του 50% καταγράφηκαν στη Φινλανδία (59,41%), στη Δανία (59,11%) και στην Πορτογαλία (54,29%). Από την άλλη πλευρά, λιγότερο από το 20% των επιχειρήσεων διέθετε έγγραφα για μέτρα, πρακτικές ή διαδικασίες για την ασφάλεια των τεχνολογιών πληροφορικής. Χαμηλό ήταν το ποσοστό στην Ελλάδα (18,28%), Ουγγαρία (13,75%) και Βουλγαρία (13,67%). Στην Κύπρο το ποσοστό ήταν 37,11% αρκετά πιο πάνω από τον μέσο ευρωπαϊκό όρο.

Κακόβουλες επιθέσεις από το εξωτερικό ή το εσωτερικό επιχείρησης

Περισσότερες από μία στις πέντε επιχειρήσεις της ΕΕ (21,54%) αντιμετώπισαν περιστατικά ασφάλειας που σχετίζονται με τον τομέα πληροφορικής και επικοινωνίας, με συνέπειες όπως η μη διαθεσιμότητα υπηρεσιών, η καταστροφή δεδομένων ή η αποκάλυψη εμπιστευτικών δεδομένων.

Τα περιστατικά ασφάλειας στον τομέα πληροφορικής και επικοινωνίας μπορεί να προκληθούν από κακόβουλες επιθέσεις από το εξωτερικό ή το εσωτερικό της επιχείρησης ή από μη κακόβουλες αιτίες, όπως αστοχίες υλικού ή λογισμικού ή ακούσιες ενέργειες από τους ίδιους τους υπαλλήλους.

Οι επιχειρήσεις ανέφεραν συχνότερα ζημιές στις υπηρεσίες πληροφορικής και επικοινωνίας των επιχειρήσεων ή σε δεδομένα που προκλήθηκαν από μη κακόβουλα συμβάντα. Η πιο συχνά αναφερόμενη συνέπεια που προκαλείται από περιστατικά ασφάλειας ήταν η μη διαθεσιμότητα υπηρεσιών λόγω αστοχιών υλικού ή λογισμικού (17,97% των επιχειρήσεων).

Συγκριτικά, η μη διαθεσιμότητα υπηρεσιών λόγω εξωτερικών επιθέσεων (π.χ. επιθέσεις ransomware ) αναφέρθηκε από το 3,43% των επιχειρήσεων. Καταστροφή δεδομένων ως αποτέλεσμα αποτυχίας υλικού ή λογισμικού αναφέρθηκε από το 3,87% των επιχειρήσεων, ενώ μόλυνση με κακόβουλο λογισμικό ή μη εξουσιοδοτημένη εισβολή οδήγησε σε καταστροφή ή καταστροφή δεδομένων στο 1,89% των επιχειρήσεων. Λιγότερο συχνά, οι επιχειρήσεις ανέφεραν αποκάλυψη εμπιστευτικών δεδομένων λόγω εισβολής, επίθεσης ή phishing ή σκόπιμων ενεργειών δικών τους υπαλλήλων (1,57%) ή λόγω ακούσιων ενεργειών δικών τους υπαλλήλων (1,15%).